Tech မှ

မကြာသေးမီက LastPass ဟက်ခ်သည် Web2 ၏ လုံခြုံရေးကန့်သတ်ချက်များကို ပြသသည်... ဤသည်မှာ ပြောင်းလဲရန် လိုအပ်သောအရာများဖြစ်သည်။

02/22/2023
Etcoinum သတင်း Bitcoin

The Recent LastPass hack showcases Web2’s security limitations… Here’s what needs to change

ကျွွောငာခကျြ


 

 

ရေပန်းစားသော စကားဝှက်စီမံခန့်ခွဲမှုဝန်ဆောင်မှု LastPass ကို ဒီဇင်ဘာ ၂၃ ရက်က ထုတ်ဖော်ပြသခဲ့သည်။ ကြေညာချက် ပြီးခဲ့သောသြဂုတ်လတွင် အကြီးစားဟက်ခ်တစ်ခု၏လက်ခံရရှိမှုအဆုံးသတ်တွင်ဖြစ်ခဲ့သည်။ ရလဒ်အနေဖြင့်၊ မှားယွင်းသူများသည် 'brute force guessing' ဟုခေါ်သော နည်းပညာဖြင့် အက်ကွဲသွားနိုင်သည့် အလားအလာရှိသော ကုဒ်ဝှက်ထားသော စကားဝှက်များစွာကို ၎င်းတို့ထံ အရောက်လှမ်းနိုင်ခဲ့ပြီး ၎င်းတို့အား ထိလွယ်ရှလွယ်သော စားသုံးသူဒေတာများကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည်။

image ကို

အဖြစ်အပျက် အစပိုင်း ပေါ်ပေါက်လာသောအခါတွင်၊ LastPass ၏ ကိုယ်စားလှယ်တစ်ဦးသည် တိုက်ခိုက်သူသည် အရံနည်းပညာဆိုင်ရာ အချက်အလက်များကိုသာ ရယူနိုင်ပြီး သီးသန့်ဖောက်သည်ဒေတာများ မရရှိနိုင်ကြောင်း ပြောကြားကာ LastPass ၏ ကိုယ်စားလှယ်တစ်ဦးက အဆိုပါကိစ္စကို ရှင်းထုတ်ရန် ကြိုးစားခဲ့သည်။ သို့သော်လည်း အဆိုပါကိစ္စနှင့်ပတ်သက်၍ နှစ်ရှည်လများစုံစမ်းစစ်ဆေးပြီးနောက်၊ ဟက်ကာသည် ဝန်ထမ်းတစ်ဦး၏စက်ပစ္စည်းသို့ဝင်ရောက်ခွင့်ရရန် အချက်အလက်ကိုအသုံးပြုခဲ့ပြီး cloud သိုလှောင်မှုစနစ်တွင် သိမ်းဆည်းထားသည့် သုံးစွဲသူဒေတာအများအပြားကို တစ်ဦးချင်းဝင်ရောက်ခွင့်ကို ပေးအပ်ခဲ့ကြောင်း တွေ့ရှိခဲ့သည်။

ထို့အတွက်ကြောင့်၊ အလုပ်ရှင်အမည်များ၊ အဆုံးအသုံးပြုသူအမည်များ၊ ငွေပေးချေသည့်လိပ်စာများ၊ အီးမေးလ်လိပ်စာများ၊ တယ်လီဖုန်းနံပါတ်များနှင့် LastPass ကိုဝင်ရောက်အသုံးပြုခဲ့သော သုံးစွဲသူများ၏ IP လိပ်စာများအပါအဝင် တိုက်ခိုက်သူအား ကုဒ်မထားသော မက်တာဒေတာကို ထုတ်ဖော်ပြသခဲ့သည်။ ဝဘ်ဆိုဒ်စကားဝှက်များပါရှိသော အချို့သော ဖောက်သည်များ၏ ကုဒ်ဝှက်ထားသော အခန်းများလည်း ခိုးယူခံရသည်။

Web3 ကိုဝင်ပါ။

LastPass ကဲ့သို့သော စကားဝှက်မန်နေဂျာများ၏ အမြတ်ထုတ်မှုသည် သမားရိုးကျအသုံးပြုသူအမည်နှင့် စကားဝှက်ဝင်ရောက်ခြင်းစနစ်များသည် လုံး၀လုံခြုံမှုမရှိသောကြောင့်၊ blockchain-based data privacy systems များဖြင့် အစားထိုးသင့်သည်ဟု Web3 developer များအကြား ကာလရှည်ကြာစွာပြောဆိုချက်တစ်ခုဖြစ်ပေါ်စေခဲ့သည်။

အသေးစိတ်ဖော်ပြရန်၊ Web3 လုံခြုံရေးစနစ်များအတွက် ထောက်ခံသူများသည် cloud ဆာဗာများတွင် သိမ်းဆည်းထားသော hashed passcodes များကို အားကိုးသောကြောင့် သမားရိုးကျ စကားဝှက်အခြေခံသည့် လော့ဂ်အင်စနစ်များသည် အားနည်းချက်ရှိကြောင်း ထပ်ခါတလဲလဲ သတိပြုမိပါသည်။ အဆိုပါ hash များကို ချိုးဖောက်ပါက ၎င်းတို့ကို ကုဒ်ဖျက်နိုင်ပြီး ခိုးယူထားသော စကားဝှက်တစ်ခုသည် တူညီသောစကားဝှက်ကို အသုံးပြုသည့် အကောင့်အားလုံးကို အလျှော့အတင်းလုပ်နိုင်သည်။

ကျွွောငာခကျြ


 

 

ယင်းနှင့်ပတ်သက်၍ Web3 Application များကို ကြိုက်နှစ်သက်သည်။ ShareRing စကားဝှက်များကဲ့သို့သော လူတစ်ဦးချင်းစီ၏ဒေတာ—ကဲ့သို့သော———ကို အွန်လိုင်းအပလီကေးရှင်းအမျိုးမျိုးတွင် မျှဝေပုံကို ပြောင်းလဲသည့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော ပလပ်ဖောင်းတစ်ခုအား အသုံးပြုသူများအား ဝင်ရောက်ခွင့်ပြုသည့် အခြားနည်းလမ်းတစ်ခုအား ကမ်းလှမ်းပါ။ ကမ်းလှမ်းချက်သည် သုံးစွဲသူများအား ၎င်းတို့၏ ကိုယ်ရေးကိုယ်တာ ဗဟိုချုပ်ကိုင်မှု လျှော့ချထားသော အထောက်အထားများ (DID) နှင့် ၎င်းတို့၏ ဒေတာများကို အပြည့်အဝ ထိန်းချုပ်နိုင်စေပါသည်။

အသေးစိတ်ဖော်ပြရန်၊ ShareRing ၏နာမည်ကြီး ShareRing Vault module အတွင်းရှိ လာမည့်အင်္ဂါရပ်အသစ်သည် လူများအား အန္တရာယ်မရှိဘဲ သုံးစွဲသူအမည်များနှင့် စကားဝှက်များကို သိမ်းဆည်းနိုင်စေပါသည်။ အမှန်မှာ၊ ဤ 'Password Manager' တွင် သိမ်းဆည်းထားသည့် ဒေတာအားလုံးကို cloud ပေါ်တွင် သိမ်းဆည်းမည့်အစား သုံးစွဲသူ၏ ShareRing Vault သီးသန့်သော့သို့ တိုက်ရိုက် ကုဒ်ဝှက်ထားသည်။ ရလဒ်အနေဖြင့်၊ ၎င်းကို ShareRing ID ကိုင်ဆောင်သူအတွက်သာ အသုံးပြုနိုင်သည်။ ShareRing အမှုဆောင်အရာရှိချုပ် Tim Bos သည် LastPass ဟက်ခ်နှင့် ပတ်သက်၍ သူ၏အတွေးအမြင်များကို ပံ့ပိုးပေးခဲ့သည်။ opined:

“ကုမ္ပဏီက သူတို့ရဲ့ အကောင့်ဝင်အချက်အလက်ကို ဘေးကင်းကြောင်း ဖောက်သည်တွေကို ယုံကြည်လာအောင် ကြိုးစားထားပါတယ်။ လုံခြုံရေး ကျွမ်းကျင်သူများက ကန့်ကွက်သည်။ လုံခြုံရေးသုတေသီ Wladimir Palant ၏ ဆောင်းပါးတစ်ပုဒ်တွင် ကုမ္ပဏီသည် ပွင့်လင်းမြင်သာမှု မရှိသည့်အတွက် ဝေဖန်သည်။ ကုမ္ပဏီသည် URLs ကဲ့သို့သော အချက်အလက်များကို စာဝှက်ရန် ကာလကြာရှည်စွာ လျစ်လျူရှုထားသော ခေါ်ဆိုမှုများကို လျစ်လျူရှုထားသည်ဟု ၎င်းက ထောက်ပြသည်၊ ဆိုလိုသည်မှာ ကုမ္ပဏီသည် ရှေ့ဆက်သွားမည့် ကုမ္ပဏီကို ယုံကြည်ရန် ခက်ခဲနေပြီဟု ၎င်းက ထောက်ပြသည်။ LastPass ကဲ့သို့သော cloud-based စကားဝှက်မန်နေဂျာများနှင့် လုံခြုံရေးဆိုင်ရာ ပြဿနာများစွာရှိသည်။ အထင်ရှားဆုံးပြဿနာများထဲမှတစ်ခုမှာ သုံးစွဲသူများ၏ ကုဒ်ဝှက်ခြင်းသော့များကို သိမ်းဆည်းထားသည့်နေရာနှင့် ဤပတ်ဝန်းကျင်ကို ခိုင်မာစွာ မည်မျှကောင်းမွန်စွာ လုံခြုံစေပါသည်။"

ရှေ့ကိုရှာဖွေနေ

LastPass ကဲ့သို့ ပရောဂျက်များကို ဝေဖန်ရန် လွယ်ကူသော်လည်း၊ စကားဝှက်မန်နေဂျာများသည် ယနေ့ခေတ်နှင့် ခေတ်ကြီးတွင် အလွန်အရေးပါလာသည်ဟူသော အချက်မှာ ကျန်ရှိနေပါသည်။ အဘယ်ကြောင့်ဆိုသော် ၎င်းတို့သည် အသုံးပြုသူများအား ၎င်းတို့ရှိနိုင်သည့် လော့ဂ်အင်အသေးစိတ်တိုင်းအတွက် အလွန်ပြင်းထန်ပြီး ထူးခြားသော စကားဝှက်များကို မှတ်သားထားနိုင်သောကြောင့်ဖြစ်သည်။

သို့သော်၊ စကားဝှက်ခိုးယူမှုနှင့် အခြားအလားတူဒေတာချိုးဖောက်မှုများ မြင့်တက်လာခြင်းနှင့်အတူ၊ ၎င်းတို့၏ ဒေသန္တရမဟုတ်သော ဒီဇိုင်း/လုပ်ငန်းဆောင်ရွက်မှုဆိုင်ရာ မူဘောင်များကြောင့် သုံးစွဲသူအချက်အလက်များကို လုံးဝဘေးကင်းစွာ ထိန်းသိမ်းထားနိုင်သည့် Web3 ဖြေရှင်းချက်အသစ်များ၏ စွမ်းအားကို အသုံးချရန် အရေးကြီးပါသည်။ ဤအချက်အတွက်၊ ShareRing ၏ စကားဝှက်မန်နေဂျာသည် ၎င်း၏အသုံးပြုသူများ၏ အချက်အလက် 2% လုံခြုံစေရန် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော သိုလှောင်မှုကို အသုံးချနေစဉ် web3 နှင့် web100 အပလီကေးရှင်းများတွင် အလုပ်လုပ်ပါသည်။ 

ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် Web3 နည်းပညာများဖြင့်မောင်းနှင်သောအနာဂတ်သို့ဦးတည်လာသည်နှင့်အမျှ၊ ကမ္ဘာတစ်ဝှမ်းရှိလူတစ်ဦးချင်းစီသည် ဗဟိုချုပ်ကိုင်ထားသောဆာဗာများပေါ်တွင် ၎င်းတို့၏အထိခိုက်မခံသောအချက်အလက်များကိုသိမ်းဆည်းခြင်း၏အားနည်းချက်များအကြောင်း ဆက်လက်ပညာပေးရန် အရေးကြီးဆုံးဖြစ်သောကြောင့် ၎င်းတို့အား blockchain ဂေဟစနစ်၏အလားအလာကို အသုံးချနိုင်စေရန်အတွက် အရေးကြီးပါသည်။ အမှန်တကယ်

အရင်းအမြစ်- https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/